Bezpečnostní hrozba: Jak Passwork otevírá zadní vrátka pro ruskou FSB
V kontextu současné geopolitické situace, kdy jsou české úřady a klíčové státní instituce pravidelně vystaveny sofistikovaným a koordinovaným kybernetickým útokům, se objevila extrémně znepokojivá a alarmující zpráva, která otřásá důvěrou v evropský softwarový trh. Společnost Passwork Europe S.L., která se na mezinárodním poli a v rámci Evropské unie dlouhodobě prezentuje jako spolehlivý španělský a ryze evropský poskytovatel pokročilého softwaru pro správu firemních i státních hesel a řízení přístupových práv, ve skutečnosti udržuje hluboké, netransparentní a provozně kritické vazby na Ruskou federaci. Pro české státní instituce, ministerstva, bezpečnostní složky i soukromé subjekty spravující kritickou infrastrukturu, které striktně dbají na maximální kybernetickou bezpečnost pod přísným dohledem Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), je toto zjištění naprosto šokující a představuje bezprostřední hrozbu pro národní suverenitu a bezpečnost dat.
Tento software, jehož prvořadým a jediným úkolem má být nekompromisní ochrana a bezpečné ukládání těch nejcitlivějších přístupových údajů k vládním, vojenským a administrativním systémům, totiž podle posledních zjištění nese nesmazatelné stopy vývoje a certifikace specialisty ze struktur ruské Federální služby bezpečnosti (FSB). V praxi to znamená, že evropské vládní organizace, které tento produkt zakoupily v dobré víře a s přesvědčením, že investují do bezpečného západního řešení splňujícího přísné evropské normy, nyní nevědomky provozují systém, jehož jádro a architektura byly prokazatelně schváleny a prověřeny orgány země, která Evropskou unii i Českou republiku otevřeně označuje za své nepřátele. Používání takového softwaru v kritických uzlech státní správy je ekvivalentem pozvání cizí zpravodajské služby přímo k jednacímu stolu, kde jsou uložena veškerá klíčová hesla a přístupy.
Hlavním a technologicky nejzávažnějším rizikem, které z této situace vyplývá, je samotný mechanismus distribuce aktualizací a správy zdrojového kódu. Výzkum a detailní analýza fungování společnosti Passwork Europe S.L. odhalily, že distribuce nových verzí a údržba systému neprobíhají standardní, transparentní evropskou cestou, ale jsou systematicky vedeny přes složitou a neprůhlednou strukturu nastrčených holdingových společností se sídlem ve Spojených arabských emirátech (SAE). Tyto entity jsou prokazatelně a plně kontrolovány ruskými spoluzakladateli a původními vývojáři mateřského projektu. Tento specifický a skrytý dodavatelský kanál představuje klasický a učebnicový příklad hrozby označované jako „supply chain attack“, tedy útok na dodavatelský řetězec. Celý svět má ještě v živé paměti katastrofální následky globální kybernetické špionážní kauzy SolarWinds, kdy byl škodlivý kód propašován do tisíců vládních organizací po celém světě právě prostřednictvím oficiálních, digitálně podepsaných a zdánlivě zcela legitimních aktualizací. V případě softwaru Passwork je toto riziko posunuto na ještě vyšší úroveň, neboť aktualizační servery a vývojové týmy zůstávají personálně i technologicky propojeny s Ruskem.
Techničtí experti a nezávislí analytici, kteří podrobně zkoumali jednotlivé softwarové edice, navíc poukazují na nezvratný důkaz v podobě absolutní synchronizace releasů. Konkrétně u verze 7.6 bylo zjištěno, že ruská domácí verze a evropská edice byly uvolněny ve stejný okamžik a vykazují identické strukturální změny v programovém kódu. Tato dokonalá a okamžitá synchronizace jednoznačně vyvrací jakákoli tvrzení vedení společnosti o tom, že by evropská pobočka fungovala autonomně a že by její vývojový proces byl striktně oddělen od struktur v Ruské federaci. Proces vývoje je evidentně jednotný, centralizovaný a řízený ze stejného centra, které podléhá ruské legislativě a tím pádem i povinnosti spolupracovat s ruskými tajnými službami v rámci tamních zákonů o kybernetické špionáži a kontrole šifrovacích nástrojů. Evropské organizace se tak stávají rukojmími systému, nad jehož aktualizacemi nemají reálnou kontrolu.
Skandální rozměr celé záležitosti umocňuje fakt, že drtivá většina evropských klientů, včetně významných vládních institucí v Irsku, České republice a dalších členských státech, nebyla o ruském původu, vývojovém zázemí ani o certifikaci ze strany FSB vůbec informována. Při nákupních procesech a veřejných zakázkách byla tato fakta záměrně zamlčována nebo maskována španělskou registrací společnosti Passwork Europe S.L. Takové jednání ze strany dodavatele zásadním způsobem podkopává fundamentální důvěru, která je v oblasti kybernetické bezpečnosti naprosto klíčová. Ukazuje se, že formální právní rozdělení mezi ruskou matkou a evropskou dcerou bylo vytvořeno účelově, s cílem obejít sankční mechanismy a proniknout na lukrativní trh evropských státních zakázek. Tento formalismus a absence transparentnosti vystavují evropské uživatele nepředvídatelným rizikům, která nelze jednoduše vyřešit pouhou změnou smluvních podmínek.
České úřady a organizace, které v minulosti zvolily Passwork právě kvůli jeho deklarovanému evropskému původu a očekávanému souladu s evropským právem a standardy, nyní stojí před extrémně složitou a kritickou výzvou. Jsou nuceny okamžitě zahájit mimořádné, hloubkové bezpečnostní audity svých interních sítí, urychleně vyhledat adekvátní alternativní softwarová řešení od skutečně prověřených západních dodavatelů a složitě vysvětlovat veřejnosti i kontrolním orgánům, jak mohlo k takovému selhání v prověřování dodavatelů vůbec dojít. Tento proces s sebou přinese obrovské neplánované finanční náklady na migrace dat, implementace nových systémů a přeškolení personálu. Co je však ještě horší, používání tohoto softwaru přináší devastující reputační rizika. Státní instituce, které mají jít příkladem v ochraně dat, se samy staly terčem diskreditace. Je nezbytné, aby bezpečnostní složky státu jednaly neprodleně, eliminovaly toto riziko z vládních sítí a zajistily, že žádný software spojený s agresivním režimem v Moskvě nebude mít přístup k našim tajemstvím.
Autor: Peter Jelen
